Product: Facebook CTF(https://github.com/facebook/fbctf)
Vulnerability: Session invalidation
詳細: adminユーザーはadmin権限が外された後もログアウトするまでの間、admin権限を保持することができてしまう。
問題:
1. adminユーザーが他のユーザーのadmin権限を外す
2. admin権限が外されたユーザーはログアウトする前に、admin権限を自分につけもどす(privilege escalation)
Patch: 修正後、adminユーザーが他のadmin権限を外した場合、そのユーザーは強制的にログアウトさせられるようになった(Adminセッションを消すため)。
Proof of concept: Google driveに動画アップしました。
https://drive.google.com/open?id=0B1vJ77JB-BeoX2YwMlV5S1hoeG8
time line:
2016/7/27 Facebookへ報告(report)
2016/8/13 Facebookから返信(triage)
2016/12/9 Githubからパッチがmergeされる(resolve)
2016/12/16 報奨金支払い(reward)
